ASA-2019-00117 – Kubernetes: Vulnerabilidade de negação de serviço no kube-apiserver


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00117

Identificador(es)

ASA-2019-00117, CVE-2019-1002100

Título

Vulnerabilidade de negação de serviço no kube-apiserver

Fabricante(s)

Cloud Native Computing Foundation

Produto(s)

Kubernetes

Versão(ões) afetada(s)

As seguintes versões do kube-apiserver são vulneráveis:

v1.0.0-1.10.x
v1.11.0-1.11.7
v1.12.0-1.12.5
v1.13.0-1.13.3

Versão(ões) corrigida(s)

kube-apiserver v1.11.8
kube-apiserver v1.12.6
kube-apiserver v1.13.4

Prova de conceito

Desconhecido

Descrição

Uma vulnerabilidade de negação de serviço foi relatada no kube-apiserver, no qual usuários autorizados com permissões de escrita na API podem fazer com que o servidor da API consuma recursos excessivos ao manipular uma solicitação de gravação.

Detalhes técnicos

Usuários que estão autorizados a fazer solicitações de patch para o Kubernetes API Server pode enviar um patch especialmente criado do tipo “json-patch” (exemplo: `kubectl patch –type json` or `”Content-Type: application/json-patch+json”`) que consome recursos excessivos durante o processamento, causando uma negação de serviço no servidor da API.

Créditos

Carl Henrik Lunde

Referência(s)

Kubernetes Security Announcement – v1.11.8, 1.12.6, 1.13.4 released to address medium severity CVE-2019-1002100
https://groups.google.com/forum/#!topic/kubernetes-security-announce/i-HEIs8WC5w

CVE-2019-1002100
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1002100

CVE-2019-1002100
https://nvd.nist.gov/vuln/detail/CVE-2019-1002100

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 8 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.